অজানা গোষ্ঠীগুলি Apache-এর অফবিজ এন্টারপ্রাইজ রিসোর্স প্ল্যানিং (ERP) কাঠামোতে চিহ্নিত একটি শূন্য-দিনের দুর্বলতার বিরুদ্ধে অনুসন্ধান শুরু করেছে - সফ্টওয়্যার সংশোধনগুলিকে বাইপাস করার উপায়গুলির জন্য প্যাচগুলি বিশ্লেষণ করার একটি ক্রমবর্ধমান জনপ্রিয় কৌশল৷
0-দিনের দুর্বলতা (জন্য CVE-2023-51467) Apache OFBiz-এ, 26 ডিসেম্বর প্রকাশ করা হয়েছে, একজন আক্রমণকারীকে সংবেদনশীল তথ্য অ্যাক্সেস করতে এবং ERP ফ্রেমওয়ার্ক ব্যবহার করে অ্যাপ্লিকেশনগুলির বিরুদ্ধে দূরবর্তীভাবে কোড চালানোর অনুমতি দেয়, সাইবারসিকিউরিটি ফার্ম SonicWall এর একটি বিশ্লেষণ অনুসারে। অ্যাপাচি সফ্টওয়্যার ফাউন্ডেশন মূলত একটি সম্পর্কিত সমস্যার জন্য একটি প্যাচ প্রকাশ করেছিল, CVE-2023-49070, কিন্তু ফিক্সটি আক্রমণের অন্যান্য বৈচিত্র থেকে রক্ষা করতে ব্যর্থ হয়েছে।
সোনিকওয়ালের হুমকি গবেষণার নির্বাহী পরিচালক ডগলাস ম্যাককি বলেছেন, ঘটনাটি উচ্চ-মূল্যের দুর্বলতার জন্য প্রকাশিত যেকোন প্যাচগুলি যাচাই করার আক্রমণকারীদের কৌশলকে হাইলাইট করে - প্রচেষ্টা যা প্রায়শই সফ্টওয়্যার সংশোধনের উপায় খুঁজে বের করে।
“একবার কেউ এই বলে কঠোর পরিশ্রম করে যে, 'ওহ, এখানে একটি দুর্বলতা বিদ্যমান', এখন গবেষক বা হুমকি অভিনেতাদের একটি পুরো দল সেই একটি সংকীর্ণ জায়গাটি দেখতে পারে এবং আপনি নিজেকে অনেক বেশি যাচাইয়ের জন্য উন্মুক্ত করেছেন। ," তিনি বলেন. "আপনি কোডের সেই ক্ষেত্রটির দিকে দৃষ্টি আকর্ষণ করেছেন, এবং যদি আপনার প্যাচটি শক্ত না হয় বা কিছু মিস হয়ে যায়, তবে এটি খুঁজে পাওয়ার সম্ভাবনা বেশি কারণ আপনার এটির উপর অতিরিক্ত নজর রয়েছে।"
SonicWall গবেষক হাসিব ভোরা 5 ডিসেম্বর প্যাচ বিশ্লেষণ করেছেন এবং সমস্যাটি কাজে লাগানোর অতিরিক্ত উপায় আবিষ্কার করেছেন, যা কোম্পানিটি 14 ডিসেম্বর অ্যাপাচি সফ্টওয়্যার ফাউন্ডেশনকে রিপোর্ট করেছে।
"CVE-2023-49070-এর প্যাচ বিশ্লেষণ করার সময় আমরা নির্বাচিত প্রশমন দ্বারা আগ্রহী হয়েছিলাম এবং সন্দেহ করেছিলাম যে প্রকৃত প্রমাণীকরণ বাইপাসটি এখনও উপস্থিত থাকবে কারণ প্যাচটি কেবলমাত্র অ্যাপ্লিকেশন থেকে XML RPC কোডটি সরিয়ে দিয়েছে," ভোরা সমস্যাটির বিশ্লেষণে বলা হয়েছে. "ফলস্বরূপ, আমরা অনুমোদন-বাইপাস সমস্যার মূল কারণ খুঁজে বের করার জন্য কোডটি খনন করার সিদ্ধান্ত নিয়েছি।"
26 ডিসেম্বর প্রকাশের আগে আক্রমণগুলি Apache OfBiz দুর্বলতাকে লক্ষ্য করে। সূত্র: সনিকওয়াল
21 ডিসেম্বরের মধ্যে, ইস্যুটি প্রকাশের পাঁচ দিন আগে, SonicWall ইতিমধ্যেই ইস্যুটির জন্য শোষণের প্রচেষ্টা চিহ্নিত করেছে৷
প্যাচ অসম্পূর্ণ
আক্রমণকারীরা বাইপাস করতে পেরেছে এমন একটি প্যাচ প্রকাশে অ্যাপাচি একা নয়। 2020 সালে, 24টি দুর্বলতার মধ্যে 25টি (XNUMX%) শূন্য-দিনের শোষণ ব্যবহার করে আক্রমণ করা হয়েছিল পূর্বে প্যাচ করা নিরাপত্তা সংক্রান্ত সমস্যাগুলির ভিন্নতা, অনুযায়ী Google-এর থ্রেট অ্যানালাইসিস গ্রুপ (TAG) দ্বারা প্রকাশিত ডেটা. Google একটি আপডেট বিশ্লেষণে বলা হয়েছে.
গুগল ম্যান্ডিয়েন্টের একজন সিনিয়র ম্যানেজার জ্যারেড সেমরাউ বলেছেন যে কোম্পানিগুলি কোনও সমস্যাকে সম্পূর্ণরূপে প্যাচ করতে ব্যর্থ হওয়ার কারণগুলি অসংখ্য, সমস্যার মূল কারণটি না বোঝা থেকে শুরু করে সফ্টওয়্যার দুর্বলতার বিশাল ব্যাকলগগুলি মোকাবেলা করা থেকে একটি ব্যাপক সমাধানের জন্য একটি তাত্ক্ষণিক প্যাচকে অগ্রাধিকার দেওয়া। দুর্বলতা এবং শোষণ গোষ্ঠী।
"কেন এটি ঘটে তার কোন সহজ, একক উত্তর নেই," তিনি বলেছেন। "এমন বেশ কয়েকটি কারণ রয়েছে যা [একটি অসম্পূর্ণ প্যাচ] এ অবদান রাখতে পারে, তবে [সোনিকওয়াল গবেষকরা] একেবারে সঠিক - অনেক সময় কোম্পানিগুলি কেবল পরিচিত আক্রমণ ভেক্টরকে প্যাচ করছে।"
Google আশা করে যে শূন্য-দিনের শোষণের অংশ যা অসম্পূর্ণভাবে প্যাচ করা দুর্বলতাগুলিকে লক্ষ্য করে তা একটি উল্লেখযোগ্য ফ্যাক্টর থাকবে। আক্রমণকারীর দৃষ্টিকোণ থেকে, একটি অ্যাপ্লিকেশনে দুর্বলতা খুঁজে পাওয়া কঠিন কারণ গবেষক এবং হুমকি অভিনেতাদের 100,000 বা লক্ষ লক্ষ লাইন কোড দেখতে হয়। প্রতিশ্রুতিবদ্ধ দুর্বলতাগুলির উপর ফোকাস করে যা সঠিকভাবে প্যাচ করা হয়নি, আক্রমণকারীরা স্ক্র্যাচ থেকে শুরু করার পরিবর্তে একটি পরিচিত দুর্বল পয়েন্ট আক্রমণ চালিয়ে যেতে পারে।
বিজ ফিক্সের চারপাশে একটি উপায়
অনেক উপায়ে, এটি Apache OfBiz দুর্বলতার সাথে ঘটেছে। মূল প্রতিবেদনে দুটি সমস্যা বর্ণনা করা হয়েছে: একটি RCE ত্রুটি যার জন্য XML-RPC ইন্টারফেস (CVE-2023-49070) অ্যাক্সেসের প্রয়োজন এবং একটি প্রমাণীকরণ বাইপাস সমস্যা যা অবিশ্বস্ত আক্রমণকারীদের এই অ্যাক্সেস প্রদান করে। অ্যাপাচি সফ্টওয়্যার ফাউন্ডেশন বিশ্বাস করে যে XML-RPC এন্ডপয়েন্ট অপসারণ করা উভয় সমস্যাকে কাজে লাগাতে বাধা দেবে, ASF নিরাপত্তা প্রতিক্রিয়া দল ডার্ক রিডিংয়ের প্রশ্নের জবাবে বলেছে।
"দুর্ভাগ্যবশত আমরা মিস করেছি যে একই প্রমাণীকরণ বাইপাস অন্যান্য প্রান্তকেও প্রভাবিত করেছে, শুধু XML-RPC নয়," দলটি বলেছে। "একবার আমরা সচেতন হয়ে গেলে, কয়েক ঘন্টার মধ্যে দ্বিতীয় প্যাচ জারি করা হয়েছিল।"
Apache দ্বারা OFBIZ-12873 হিসাবে ট্র্যাক করা দুর্বলতা, "আক্রমণকারীদের একটি সাধারণ সার্ভার-সাইড অনুরোধ জালিয়াতি (SSRF) অর্জনের জন্য প্রমাণীকরণ বাইপাস করার অনুমতি দেয়," Apache সফটওয়্যার ফাউন্ডেশনের সদস্য দীপক দীক্ষিত, Openwall মেইলিং তালিকায় বলা হয়েছে. তিনি SonicWall হুমকি গবেষক হাসিব ভোরা এবং অন্য দুই গবেষক - গাও তিয়ান এবং L0ne1y - সমস্যাটি খুঁজে পাওয়ার কৃতিত্ব দিয়েছেন।
যেহেতু OfBiz একটি কাঠামো, এবং এইভাবে সফ্টওয়্যার সরবরাহ চেইনের অংশ, দুর্বলতার প্রভাব ব্যাপক হতে পারে। জনপ্রিয় অ্যাটলাসিয়ান জিরা প্রকল্প এবং ইস্যু-ট্র্যাকিং সফ্টওয়্যার, উদাহরণস্বরূপ, অফবিজ লাইব্রেরি ব্যবহার করে, তবে শোষণটি প্ল্যাটফর্মে সফলভাবে সম্পাদন করতে পারে কিনা তা এখনও অজানা, সনিকওয়ালের ম্যাকি বলেছেন।
"এটা নির্ভর করবে যেভাবে প্রতিটি কোম্পানি তাদের নেটওয়ার্ক স্থপতি করে, তারা যেভাবে সফ্টওয়্যারটি কনফিগার করে তার উপর," তিনি বলেছেন। "আমি বলব যে একটি সাধারণ অবকাঠামোতে এই ইন্টারনেট-মুখী থাকবে না, এটির জন্য কিছু ধরণের ভিপিএন বা অভ্যন্তরীণ অ্যাক্সেসের প্রয়োজন হবে।"
যে কোনও ক্ষেত্রে, কোম্পানিগুলির পদক্ষেপ নেওয়া উচিত এবং সর্বশেষ সংস্করণে OfBiz ব্যবহার করার জন্য পরিচিত যে কোনও অ্যাপ্লিকেশন প্যাচ করা উচিত, ASF নিরাপত্তা প্রতিক্রিয়া দল বলেছে।
“Apache OFBiz ব্যবহার করে এমন কোম্পানিগুলির জন্য আমাদের সুপারিশ হল নিরাপত্তার সর্বোত্তম অনুশীলনগুলি অনুসরণ করা, যার মধ্যে কেবলমাত্র সেই ব্যবহারকারীদের সিস্টেমে অ্যাক্সেস দেওয়া, যাদের এটির প্রয়োজন রয়েছে, নিয়মিত আপনার সফ্টওয়্যার আপডেট করা নিশ্চিত করা এবং নিরাপত্তার সময় আপনি প্রতিক্রিয়া জানাতে সুসজ্জিত কিনা তা নিশ্চিত করা। উপদেষ্টা প্রকাশিত হয়,” তারা বলেন.
- এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
- PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
- প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
- প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
- প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
- উত্স: https://www.darkreading.com/vulnerabilities-threats/apache-erp-0day-underscores-dangers-of-incomplete-patches
- : হয়
- :না
- $ ইউপি
- 100
- 14
- 17
- 2020
- 2022
- 24
- 26%
- 41
- 7
- a
- একেবারে
- প্রবেশ
- অনুযায়ী
- অর্জন করা
- অভিনেতা
- অতিরিক্ত
- উপদেশক
- আক্রান্ত
- বিরুদ্ধে
- অনুমতি
- একা
- ইতিমধ্যে
- এছাড়াও
- an
- বিশ্লেষণ
- বিশ্লেষণ
- বিশ্লেষণ
- এবং
- উত্তর
- কোন
- এ্যাপাচি
- আবেদন
- অ্যাপ্লিকেশন
- স্থাপত্যবিদ
- রয়েছি
- এলাকায়
- কাছাকাছি
- AS
- এএসএফ
- At
- আক্রমণ
- প্রচেষ্টা
- মনোযোগ
- প্রমাণীকরণ
- সচেতন
- BE
- কারণ
- হয়েছে
- আগে
- হচ্ছে
- বিশ্বাস
- সর্বোত্তম
- সেরা অভ্যাস
- উভয়
- গুচ্ছ
- কিন্তু
- by
- পার্শ্বপথ
- CAN
- কারণ
- চেন
- তালিকা
- মনোনীত
- কোড
- কোম্পানি
- কোম্পানি
- ব্যাপক
- অবিরত
- অবদান
- পারা
- সাইবার নিরাপত্তা
- বিপদ
- অন্ধকার
- অন্ধকার পড়া
- দিন
- ডিলিং
- ডিসেম্বর
- সিদ্ধান্ত নিয়েছে
- দীপক
- নির্ভর
- বর্ণিত
- কঠিন
- খনন করা
- Director
- প্রকাশ
- আবিষ্কৃত
- সম্পন্ন
- Douglas
- টানা
- প্রতি
- প্রচেষ্টা
- শেষপ্রান্ত
- উদ্যোগ
- ইআরপি
- ঘটনা
- উদাহরণ
- এক্সিকিউট
- কার্যনির্বাহী
- নির্বাহী পরিচালক
- বিদ্যমান
- আশা
- কাজে লাগান
- শোষণ
- শোষিত
- কীর্তিকলাপ
- অতিরিক্ত
- চোখ
- গুণক
- কারণের
- ব্যর্থ
- ব্যর্থ
- ব্যক্তিত্ব
- আবিষ্কার
- দৃঢ়
- পাঁচ
- ঠিক করা
- সংশোধন করা হয়েছে
- ত্রুটি
- মনোযোগ
- অনুসরণ করা
- জন্য
- জালিয়াতি
- পাওয়া
- ভিত
- ফ্রেমওয়ার্ক
- থেকে
- সম্পূর্ণরূপে
- GAO
- দান
- চালু
- গুগল
- গ্রুপ
- গ্রুপের
- ছিল
- ঘটেছিলো
- এরকম
- কঠিন
- কঠিন কাজ
- আছে
- he
- এখানে
- হাইলাইট
- ঘন্টার
- এইচটিএমএল
- HTTPS দ্বারা
- প্রচুর
- i
- চিহ্নিত
- if
- ভাবমূর্তি
- আশু
- প্রভাব
- in
- ঘটনা
- সুদ্ধ
- ক্রমবর্ধমানভাবে
- তথ্য
- পরিকাঠামো
- ইন্টারফেস
- অভ্যন্তরীণ
- মধ্যে
- আইএসএন
- সমস্যা
- ইস্যু করা
- সমস্যা
- IT
- এর
- JPG
- মাত্র
- রকম
- পরিচিত
- সর্বশেষ
- চালু
- লাইব্রেরি
- সম্ভবত
- লাইন
- দেখুন
- অনেক
- প্রণীত
- মেইলিং
- মেকিং
- পরিচালিত
- পরিচালক
- অনেক
- মে..
- সদস্য
- লক্ষ লক্ষ
- মিস
- প্রশমন
- অধিক
- সংকীর্ণ
- প্রয়োজন
- নেটওয়ার্ক
- না।
- এখন
- অনেক
- of
- প্রায়ই
- oh
- on
- একদা
- ONE
- কেবল
- খোলা
- or
- মূল
- মূলত
- অন্যান্য
- আমাদের
- বাইরে
- শেষ
- অংশ
- তালি
- প্যাচ
- প্যাচিং
- পরিপ্রেক্ষিত
- পরিকল্পনা
- মাচা
- Plato
- প্লেটো ডেটা ইন্টেলিজেন্স
- প্লেটোডাটা
- বিন্দু
- জনপ্রিয়
- চর্চা
- বর্তমান
- প্রতিরোধ
- পূর্বে
- পূর্বে
- প্রকল্প ছাড়তে
- সমস্যা
- সমস্যা
- প্রকল্প
- আশাপ্রদ
- সঠিকভাবে
- রক্ষা করা
- প্রদত্ত
- প্রকাশ্য
- প্রকাশিত
- প্রশ্ন
- বরং
- পড়া
- বাস্তব
- কারণে
- সুপারিশ
- নিয়মিতভাবে
- সংশ্লিষ্ট
- মুক্ত
- মুক্তি
- থাকা
- দূরবর্তী অবস্থান থেকে
- অপসারিত
- সরানোর
- রিপোর্ট
- রিপোর্ট
- অনুরোধ
- প্রয়োজন
- প্রয়োজনীয়
- গবেষণা
- গবেষক
- গবেষকরা
- সংস্থান
- প্রতিক্রিয়া
- প্রতিক্রিয়া
- ফল
- অধিকার
- শিলা
- শিকড়
- s
- বলেছেন
- একই
- বলা
- উক্তি
- বলেছেন
- আঁচড়ের দাগ
- সুবিবেচনা
- দ্বিতীয়
- নিরাপত্তা
- জ্যেষ্ঠ
- সংবেদনশীল
- বিভিন্ন
- শেয়ার
- উচিত
- গুরুত্বপূর্ণ
- সহজ
- কেবল
- থেকে
- একক
- ছয়
- সফটওয়্যার
- সফ্টওয়্যার সরবরাহ শৃঙ্খলা
- কঠিন
- কিছু
- কেউ
- কিছু
- উৎস
- অকুস্থল
- শুরু
- প্রারম্ভিক ব্যবহারের নির্দেশাবলী
- এখনো
- কৌশল
- সফলভাবে
- সরবরাহ
- সরবরাহ শৃঙ্খল
- নিশ্চিত
- সিস্টেম
- TAG
- গ্রহণ করা
- লক্ষ্য
- লক্ষ্যবস্তু
- টীম
- চেয়ে
- যে
- সার্জারির
- তাদের
- সেখানে।
- তারা
- এই
- সেগুলো
- হুমকি
- হুমকি অভিনেতা
- দ্বারা
- এইভাবে
- বার
- থেকে
- দুই
- আদর্শ
- টিপিক্যাল
- আন্ডারস্কোর
- বোধশক্তি
- দুর্ভাগ্যবশত
- অজানা
- আপডেট
- আপডেট
- ব্যবহার
- ব্যবহারকারী
- ব্যবহারসমূহ
- ব্যবহার
- Ve
- সংস্করণ
- ভিপিএন
- দুর্বলতা
- দুর্বলতা
- ছিল
- উপায়..
- উপায়
- we
- দুর্বল
- ছিল
- কি
- কখন
- কিনা
- যে
- সমগ্র
- কেন
- ব্যাপক
- সঙ্গে
- মধ্যে
- হয়া যাই ?
- would
- এক্সএমএল
- আপনি
- আপনার
- নিজেকে
- zephyrnet